Заплатки на Окна

[abram4]

Вышел апрельский набор.
Microsoft "латает дыры"

Вышел очередной пакет обновлений от Microsoft, в котором исправлены ошибки в Internet и Windows Explorer, Outlook Express и в Microsoft Data Access Components. Наиболее ожидаемыми были исправления для IE, поскольку за прошедший месяц было обнаружено несколько ошибок, которые уже начали использовать хакеры в своей деятельности. В частности, исправлена ошибка в функции createTextRange(). Кроме нее в браузере исправлено еще девять ошибок, восемь из которых позволяют исполнить код с помощью специально подготовленного сайта. Одна из них позволяет подменить строку состояния, а другая - исполнить код во время обработки другого сайта. Их можно использовать для фишинга. Уязвимость же в Windows Explorer позволяет с помощью COM-объекта, расположенного на специальном сайте, перенаправить пользователя на удаленный сервер и исполнить с него код. Также с помощью внешнего сайта можно эксплуатировать ошибку в компоненте RDS.Dataspace ActiveX, который называется MDAC.

Ошибка в Outlook Express позволяет с помощью специального wab-файла (Windows Address Book) вызвать переполнение буфера и также исполнить вредоносный код в системе. Поэтому пользователям этого клиента не рекомендуется раскрывать вложенные wab-файлы пока не убедитесь, что на систему не установлены соответствующие исправления. Хотя большинство ошибок критические, но все требуют определенных действий от пользователя - хотя бы посещения определенных сайтов, поэтому построить на их основе сетевого червя будет сложно.